ช่องโหว่ความรุนแรงสูงในภาษาการเขียนโปรแกรม R
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับR Project ที่ได้เผยแพร่การอัปเดตเกี่ยวกับช่องโหว่ที่มีความรุนแรงสูง หมายเลข CVE-2024-27322 ที่ส่งผลต่อภาษาการเขียนโปรแกรม R ช่องโหว่นี้มีคะแนน CVSSv 8.8 ช่องโหว่ดังกล่าวเกิดขึ้นเนื่องจากกระบวนการจัดการการออกหมายเลขกํากับและการทําให้เป็นอนุกรมในภาษา R อ็อบเจ็กต์ Promise สามารถฝังเป็นพิเศษด้วยรหัสที่กําหนดเองในข้อมูลเมตาของ R Data Serialization (RDS) หรือไฟล์แพ็คเกจ R (RDX) ซึ่งจะถูก deserialised และดําเนินการ
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ที่ไม่ได้รับอนุญาตดําเนินการใช้รหัส เมื่อเหยื่อเปิดไฟล์ RDS หรือ RDX ที่ออกแบบมาไม่ปลอดภัย
- ช่องโหว่นี้มีผลต่อ R Core เวอร์ชัน 1.4.0 ถึงก่อน 4.4.0
ทั้งนี้ ผู้ใช้งานและผู้ดูแลระบบของ ของเวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบอัปเดตเป็นเวอร์ชันล่าสุดทันที รายละเอียดเพิ่มเติมได้ที่ https://nvd.nist.gov/vuln/detail/CVE-2024-27322
อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-045สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
